綁架病毒 - 資安趨勢部落格

勒索病毒的快速致富模式: Encryptor RaaS 的”事業夥伴”只要會設定比特幣錢包ID,不需技術能力

2016 年 10 月 24 日2016 年 10 月 24 日趨勢科技 TrendMicro

2015年7月，一個名為「Encryptor RaaS」（趨勢科技偵測為RANSOM_CRYPRAAS.SM）的新勒索病毒即服務（Ransomware-as-a-Service）浮出檯面，想複製像Tox或ORX Locker的快速致富模式。這起新”服務”似乎是匹黑馬：跨平台，吸引人的價格，而且讓新手罪犯的進入門檻更低。它對一般用戶和企業都造成相當大的威脅，因為Encryptor RaaS可以對會員提供客製化服務。

Encryptor RaaS作者替從事勒索病毒事業的會員們,建立只能透過TOR網路存取的完整網路控制面板，讓他們可以管理勒索病毒受害者的系統。和其他競爭者比較起來（如Cerber，開發者抽取40%的佣金），Encryptor RaaS的訂價相當具有吸引力。會員只需投入至少5%的收入散播勒索病毒，當然,為了躲避追查,比特幣（Bitcoin）是首選交易貨幣。

早在2016年3月，趨勢科技就注意到Encryptor RaaS作者竭盡所能地不讓自己被偵測露出馬腳。包括使用有效憑證來簽章勒索病毒，同時也不斷地利用反防毒服務和加密服務。

但非常突然的這個”服務”在四個月後突然關閉了。好處是,少了一個勒索病毒需要擔心。壞處是, 開發者決定刪除主要金鑰,受害者再也無法回復他們被加密的檔案。是什麼讓Encryptor RaaS突然崩落？

犯罪手法: :勒索病毒”事業夥伴”只需要知道如何設定比特幣錢包ID，並不需要其他技術專長

Encryptor RaaS會在表層網路和黑暗網路（Dark Web）的論壇內進行宣傳。惡意分子只需透過Tor網站來聯絡開發者表示興趣。除了需要知道如何設定比特幣錢包ID來連結將要散播的勒索病毒外，並不需要其他技術專長。他們還會取得一個「客戶ID」，所以每個檔案都有唯一的「所有者」。會員可以指定贖金金額，並選擇使用哪些方法來散播定製的惡意軟體。繼續閱讀

《資安漫畫》瀏覽合法的官方網站也會中毒！？一次看懂勒索病毒四個地雷

2016 年 10 月 18 日2016 年 11 月 22 日趨勢科技 TrendMicro

「只要不點入可疑網站就不會中毒」?!

Q：瀏覽合法的官方網站也會感染上勒索病毒！？

A：是的，如果電腦有軟體的修補程式沒有更新的話，遇到「Drive by download」路過式下載攻擊，瀏覽惡意網頁或惡意廣告就會中毒，台灣也傳出相關案例。

Q：Cerber勒索病毒透過惡意廣告散播，主要集中在台灣，只要不點擊廣告就不會中招？

A：惡意廣告是勒索病毒傳播的主要途徑之一，大多數人對於惡意廣告有著很大的誤解，就是要有點擊的動作才會受到危害，事實上，惡意廣告的攻擊並不需要使用者的點擊，只要瀏覽器或裝置顯示出惡意廣告，使用者就會受到攻擊。

Q：網路追劇也有可能遇到勒索病毒嗎？

A：很多網友因為在網路追劇中毒，因為有些廣告會在影片播放前顯示，網路犯罪集團會經由這類廣告來散布惡意程式。這就是所謂的「惡意廣告」，除了勒索病毒,它們也利用軟體漏洞在系統暗中植入一些可竊取帳號密碼、銀行資訊和個人資料的惡意程式。

Q：CryptXXX勒索病毒受害者回報瀏覽過內容農場網站後出現中毒症狀，所以大型網站比較安全嗎？

A：在台灣傳出大量災情的 CryptXXX(RANSOM_Waltrix)勒索病毒主要利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後，開始出現感染勒索病毒的情況。許多高知名度的網站，因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。報導指出網頁廣告成勒索軟體散播溫床，紐約時報、BBC、MSN 皆中招，文中指出”攻擊者透過廣告聯盟及軟體漏洞，透過大型網站如《紐約時報》、BBC 、MSN 等的廣告，藉此安裝勒索病毒。

趨勢科技建議：

若作業系統或是應用程式有提供修補程式或更新程式，應該要盡快更新，並使用防毒軟體，如此一來就能大幅度地減少威脅。

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

從RAR到JavaScript：勒索病毒所使用郵件附件檔的變化

2016 年 10 月 13 日2016 年 10 月 04 日趨勢科技 TrendMicro

為什麼關鍵是要在閘道阻止勒索病毒 Ransomware (勒索軟體/綁架病毒)？因為電子郵件是勒索病毒最常使用的進入點。根據我們的分析，有71%的勒索病毒透過電子郵件散播。使用垃圾郵件並不是什麼新鮮事，勒索病毒作者持續使用這種感染途徑是因為這是已經經過考驗的做法。也是針對潛在受害者（大型企業和中小型企業）的有效途徑，因為他們通常將電子郵件用在通訊和日常運作上。2016年上半年，我們觀察到網路犯罪分子利用像JavaScript、VBScript和Office巨集文件等檔案類型來躲避傳統的安全解決方案。有些可以直接用來編寫惡意軟體。事實上，作為安全預防措施，微軟預設是關閉巨集功能。

在本文中，我們會研究各種電子郵件附件檔及勒索病毒使用這些檔案類型的變化。

檢視電子郵件附件檔

趨勢科技在上半年已經封鎖和偵測8,000萬次的勒索病毒威脅；其中有58%來自電子郵件附件檔。縱觀今年，我們看到Locky的攻擊活動及其不斷地變更電子郵件附件檔來更大量地散播。根據我們的監控，某些檔案類型在電子郵件附件檔中變多就是因為Locky。

在今年的前兩個月，我們注意到垃圾郵件使用.DOC檔案出現高峰。DRIDEX，一種以使用巨集聞名的網路銀行威脅，在那時據報會散播Locky勒索病毒。從三月到四月，我們看到使用.RAR附件檔的高峰，這也歸因於Locky的攻擊活動。

圖1、企業遭受勒索病毒攻擊的風險，因為他們是會使用巨集功能之生產力應用程式的重度使用者。

從六月到八月，Locky運作者轉而使用JavaScript附件檔。不過這類型的附件檔也會下載其他勒索病毒，像是CryptoWall 3.0和TeslaCrypt 4.0。我們還注意到Locky使用VBScript附件檔，可能是因為容易進行混淆來躲避偵測。七月中至八月，我們開始看到Locky垃圾郵件活動使用Windows腳本檔案（WSF），這可以解釋WSF為何成為最常用在病毒威脅的附件檔類型第二名。繼續閱讀

<勒索病毒> 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定（RDP）散播

2016 年 09 月 29 日2016 年 09 月 29 日趨勢科技 TrendMicro

勒索病毒 Crysis會注入木馬程式到重新導向或連接的設備，如印表機和路由器,以便讓攻擊者能夠重新進入和感染系統，即便已經將惡意軟體從中毒電腦中移除。這也說明了為什麼不建議支付贖金，因為看來只能解決一時的問題。

Crysis勒索病毒可以結合RSA和AES的加密演算法來加密185種類型的檔案，使用 vssadmin來刪除備份，並且修改註冊表來使得在每次啟動時都會自動執行。

今年二月出現的勒索病毒 Ransomware (勒索軟體/綁架病毒) RANSOM_CRYSIS.A，現在會透過暴力破解遠端桌面協定（RDP）散播,目前澳洲和紐西蘭的企業傳出疫情。

在今年六月初曾經報導過Crysis想接手TeslaCrypt所留下的市場（因為TeslaCrypt作者決定結束業務），並且追上勒索病毒界中流行的Locky。Crysis主要透過垃圾郵件散播，可能是帶有雙重副檔名的木馬化病毒附加檔案（將惡意軟體偽裝成非執行檔的一種手法），或是連到受感染網站，網路服務也可能會散播合法軟體的可疑安裝檔。現在它也會將暴力破解攻擊遠端桌面協定作為其感染途徑之一。

Windows遠端存取工具所具備的資源重新導向功能讓使用者可以方便的存取、處理和使用本地磁碟的檔案、印表機、剪貼簿和可移除設備等資源。使用暴力破解攻擊遠端桌面協定的Crysis,利用來源電腦的重新導向磁碟,執行勒索病毒。

圖1、透過RDP暴力破解攻擊的Crysis感染流程示意

RDP是內建在Windows作業系統的功能，可以讓使用者透過網路來連接另外一台電腦。RDP常會被針對性攻擊/鎖定目標攻擊(Targeted attack )利用來取回資料，竊來的資料可以放到網路地下市場販賣，還可以將劫持的系統整合到「Botnet傀儡殭屍網路」內來發動進一步的惡意攻擊。繼續閱讀

如何阻止勒索病毒滲透企業網路和在內部蔓延?

2016 年 09 月 26 日2016 年 09 月 30 日趨勢科技 TrendMicro

這是探討勒索病毒 Ransomware (勒索軟體/綁架病毒)四部曲中的第三部。這個系列文章會探討勒索病毒用來攻擊使用者和企業的各種技術。同時也說明了，如果想減少勒索病毒所帶來的風險，最好的辦法是在企業網路的各個部位實施多層次防護 – 閘道、端點、網路和伺服器。

可以到這裡閱讀之前的文章：

勒索病毒 Ransomware (勒索軟體/綁架病毒)已經成為影響數百萬使用者並且掠取數百萬美元的嚴重問題。本系列之前的文章探討勒索病毒進入系統的方式及加密的行為。在本篇文章中，我們將研究勒索病毒如何使用網路及可能的解決方法。

檢視網路連線相當有用，因為網路活動是企業內部惡意活動進行的指標。反之，如果企業對網路沒有適當的能見度，就可能因為未受管理的設備（它們不一定受到閘道安全軟體的保護）或可信任設備來的未經授權連線而造成勒索病毒的感染。

受感染的企業內部電腦在勒索病毒攻擊中可能扮演兩種角色：

成為通訊中繼站
變成病毒擴散到其他系統和伺服器的幫兇

角色＃1：命令和控制（C&C）

對勒索病毒來說，網路最重要的用途是連接攻擊者的命令與控制（C&C）伺服器，因為勒索病毒通常需要這連線來取得加密檔案用的金鑰。

金鑰會由C&C伺服器送到中毒電腦用來加密目標檔案。如果連線建立完成，多數勒索病毒會從C&C伺服器取得公共金鑰，並用它來加密目標檔案。對應的私鑰會一直留在攻擊者那邊。公鑰可以隨時加以改變，而不會在惡意程式碼中發現任何金鑰。

如果無法建立與C&C伺服器的連線會發生什麼事？大多數勒索病毒（像是CryptoWall）不會去加密任何檔案。不過也有些變種可以自己進行加密的動作。一個例子是CrypXXX，在程式碼中內嵌了預設金鑰。Cerber變種通常會在本機產生金鑰，讓安全研究人員比較容易進行逆向工程，並替使用者製造解密工具來回復加密檔案。新的變種偏好使用來自C&C伺服器的金鑰，讓使用固定金鑰的解密工具無用武之地。

角色＃2：擴散

勒索病毒還可以在企業內部透過網路分享散播。當勒索病毒在中毒系統上執行時，多數都會加密本機磁碟和網路磁碟上的檔案。結果就是病毒會更快地在企業內部散播，結果本來只是單機的中毒問題，造成讓整個企業都停擺的後果。

如前所述，勒索病毒也能夠經由未授權的連線來侵入網路。比方說，Cryisis勒索病毒會利用遠端桌面協定（RDP）的暴力破解攻擊。在2016年3月，Surprise勒索病毒據報會使用偷來的TeamViewer登錄憑證來感染系統。

繼續閱讀